計算機(jī)網(wǎng)絡(luò)安全技術(shù)試題全含答案解析

1、計算機(jī)科學(xué)與技術(shù)專業(yè)計算機(jī)網(wǎng)絡(luò)安全試卷一、單項選擇題(每小題1分，共30分)在下列每小題的四個備選答案中選出一個正確的答案，并將其字母標(biāo)號填入題干的括號內(nèi)。1,非法接收者在截獲密文后試圖從中分析出明文的過程稱為(A )A.破譯 B, 解密 C, 加密 D. 攻擊2.以下有關(guān)軟件加密和硬件加密的比較，不正確的是( B )A.硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序B,硬件加密的兼容性比軟件加密好C,硬件加密的安全性比軟件加密好D,硬件加密的速度比軟件加密快3,下面有關(guān)3DES勺數(shù)學(xué)描述，正確的是(B )A. C=E(E(E(P,Ki),Ki),Ki)B,C=E(D(E

2、(P, Ki),K2), K 1)C. C=E(D(E(P,Ki),Ki),Ki)D,C=D(E(D(P, Ki),K2), K i)PKI無法實現(xiàn)(D )A.身份認(rèn)證B. 數(shù)據(jù)的完整性 C.數(shù)據(jù)的機(jī)密性 D.權(quán) 限分配CA的主要功能為（D ）A.確認(rèn)用戶的身份B.為用戶提供證書的申請、下載、查詢、注銷和恢復(fù)等操作C.定義了密碼系統(tǒng)的使用方法和原則D.負(fù)責(zé)發(fā)放和管理數(shù)字證書.數(shù)字證書不包含（B ）A.頒發(fā)機(jī)構(gòu)的名稱 B.證書持有者的私有密鑰信息C.證書的有效期D. CA簽發(fā)證書時所使用的簽名算法. “在因特網(wǎng)上沒有人知道對方是一個人還是一條狗”這個故 事最能說明（A ）A.身份認(rèn)證的重要性和迫

3、切性B.網(wǎng)絡(luò)上所有的活動都是不可見的C.網(wǎng)絡(luò)應(yīng)用中存在不嚴(yán)肅性D.計算機(jī)網(wǎng)絡(luò)是一個虛擬的世界.以下認(rèn)證方式中，最為安全的是（D ）A.用戶名+密碼 B.卡+密鑰 C. 用戶名+密碼+驗證碼D.卡+指紋.將通過在別人丟棄的廢舊硬盤、 U盤等介質(zhì)中獲取他人有用信息的行為稱為（D ）A.社會工程學(xué) B.搭線竊聽 C. 窺探 D.垃圾搜索. ARP欺騙的實質(zhì)是（A ）A.提供虛擬的MACW IP地址的組合B.讓其他計算機(jī)知道自己的存在C.竊取用戶在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)D.擾亂網(wǎng)絡(luò)的正常運行. TCP SYN泛洪攻擊的原理是利用了（ A ）A. TCP三次握手過程B. TCP面向流的工作機(jī)制C. TCPB據(jù)

4、傳輸中的窗口技術(shù)D.TCPit接終止時的FIN報文. DNSSEC中并未采用（C ）A.數(shù)字簽名技術(shù) B.公鑰加密技術(shù) C.地址綁定技術(shù)D.報文摘要技術(shù).當(dāng)計算機(jī)上發(fā)現(xiàn)病毒時，最徹底的清除方法為（ A ）A.格式化硬盤B.用防病毒軟件清除病毒C.刪除感染病毒的文件D.刪除磁盤上所有的文件.木馬與病毒的最大區(qū)別是（B ）A.木馬不破壞文件，而病毒會破壞文件B.木馬無法自我復(fù)制，而病毒能夠自我復(fù)制C.木馬無法使數(shù)據(jù)丟失，而病毒會使數(shù)據(jù)丟失D.木馬不具有潛伏性，而病毒具有潛伏性.經(jīng)常與黑客軟件配合使用的是（C ）A.病毒B.蠕蟲C.木馬D.間諜軟件.目前使用的防殺病毒軟件的作用是（C ）A.檢查計算

5、機(jī)是否感染病毒，并消除已感染的任何病毒B.杜絕病毒對計算機(jī)的侵害C.檢查計算機(jī)是否感染病毒，并清除部分已感染的病毒D.查出已感染的任何病毒，清除部分已感染的病毒.死亡之ping屬于（B ）D. 篡改A.冒充攻擊 B.拒絕服務(wù)攻擊 C. D. 篡改攻擊.淚滴使用了 IP數(shù)據(jù)報中的（A ）A.段位移字段的功能B.協(xié)議字段的功能C.標(biāo)識字段的功能D. 生存期字段的功能. ICMP泛洪利用了（ C ）A. ARP命令的功能B. tracert命令的功能C. ping 命令的功能 D. route 命令的功能.將利用虛假IP地址進(jìn)行ICMP報文傳輸?shù)墓舴椒ǚQ為（D ）A. ICMP乏洪 B.LAND擊

6、 C.死亡之 ping D. Smurf攻擊.以下哪一種方法無法防范口令攻擊（ A ）A.啟用防火墻功能B.設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D.修改系統(tǒng)默認(rèn)的認(rèn)證名稱.以下設(shè)備和系統(tǒng)中，不可能集成防火墻功能的是（ A ）A.集線器 B. 交換機(jī) C. 路由器 D. Windows Server2003操作系統(tǒng).對“防火墻本身是免疫的”這句話的正確理解是（ B ）A.防火墻本身是不會死機(jī)的B.防火墻本身具有抗攻擊能力C.防火墻本身具有對計算機(jī)病毒的免疫力D.防火墻本身具有清除計算機(jī)病毒的能力.以下關(guān)于傳統(tǒng)防火墻的描述，不正確的是（A ）A.即可防內(nèi)，也可防外B.存在結(jié)構(gòu)限制，無法適

7、應(yīng)當(dāng)前有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)并存的需C.工作效率較低，如果硬件配置較低或參數(shù)配置不當(dāng)，防火墻將成形成網(wǎng)絡(luò)瓶頸D.容易出現(xiàn)單點故障25.下面對于個人防火墻的描述，不正確的是（ C ）A.個人防火墻是為防護(hù)接入互聯(lián)網(wǎng)的單機(jī)操作系統(tǒng)而出現(xiàn)的B.個人防火墻的功能與企業(yè)級防火墻類似，而配置和管理相對簡單C.所有的單機(jī)殺病毒軟件都具有個人防火墻的功能D.為了滿足非專業(yè)用戶的使用，個人防火墻的配置方法相對簡單的應(yīng)用特點主要表現(xiàn)在兩個方面，分別是（ A ）A.應(yīng)用成本低廉和使用安全B.便于實現(xiàn)和管理方便C.資源豐富和使用便捷D.高速和安全.如果要實現(xiàn)用戶在家中隨時訪問單位內(nèi)部的數(shù)字資源，可以通過以下哪一種方式實現(xiàn)

8、（C ）A.外聯(lián)網(wǎng)VPN B.內(nèi)聯(lián)網(wǎng)VPN C.遠(yuǎn)程接入 VPN D.專線接入.在以下隧道協(xié)議中，屬于三層隧道協(xié)議的是（ D ）A. L2F B. PPTP C. L2TP D. IPSec.以下哪一種方法中，無法防范蠕蟲的入侵。（B ）A.及時安裝操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序B,將可疑郵件的附件下載等文件夾中，然后再雙擊打開C,設(shè)置文件夾選項，顯示文件名的擴(kuò)展名D.不要打開擴(kuò)展名為VBS SHS PIF等郵件附件.以下哪一種現(xiàn)象，一般不可能是中木馬后引起的( B )A,計算機(jī)的反應(yīng)速度下降，計算機(jī)自動被關(guān)機(jī)或是重啟B.計算機(jī)啟動時速度變慢，硬盤不斷發(fā)出“咯吱，咯吱”的聲音C.在沒有操作計算機(jī)時

9、，而硬盤燈卻閃個不停D.在瀏覽網(wǎng)頁時網(wǎng)頁會自動關(guān)閉，軟驅(qū)或光驅(qū)會在無盤的情況下讀個不停.下面有關(guān) DES的描述，不正確的是(A)A.是由舊M、Sun等公司共同提出的 B.其結(jié)構(gòu)完全遵循Feistel密碼結(jié)構(gòu)C.其算法是完全公開的D.是目前應(yīng)用最為廣泛的一種分組密碼算法.“信息安全”中的“信息”是指(A)A、以電子形式存在的數(shù)據(jù)A、以電子形式存在的數(shù)據(jù)、計算機(jī)網(wǎng)絡(luò)C、信息本身、信息處理過程、信息處理設(shè)施和信息處理都DK軟硬件平臺. 下面不屬于身份認(rèn)證方法的是(A )口令認(rèn)證B.智能卡認(rèn)證C. 姓名認(rèn)證 D.指紋認(rèn)證數(shù) 字 證(數(shù) 字 證(B)A.頒發(fā)機(jī)構(gòu)的名稱 B.C.證書的有效期 D. CA法

10、套接字層 (B )A.網(wǎng)絡(luò)層與傳輸層之間 B.C.應(yīng)用層D.書 不 包 含證書持有者的私有密鑰信息簽發(fā)證書時所使用的簽名算Socket Layer ) 位 于傳輸層與應(yīng)用層之間傳輸層36. 下面有關(guān) 36. 下面有關(guān) SSL 的描述，不正確的是(D )A.目前大部分 WeWU覽器都內(nèi)置了 SSL協(xié)議SSL協(xié)議分為SSL握手協(xié)議和SSL記錄協(xié)議兩部分SSL協(xié)議中的數(shù)據(jù)壓縮功能是可選的TLS在功能和結(jié)構(gòu)上與SSL完全相同.在基于IEEE與Radius組成的認(rèn)證系統(tǒng)中，Radius服務(wù)器的功能不包括（D ）A.驗證用戶身份的合法性 B. 授權(quán)用戶訪問網(wǎng)絡(luò)資源C.對用戶進(jìn)行審計 D.對客戶端的MACM

11、址進(jìn)行綁定.在生物特征認(rèn)證中，不適宜于作為認(rèn)證特征的是（ D ）A.指紋 B. 虹膜 C. 臉像 D. 體重.防止重放攻擊最有效的方法是（B ）A.對用戶賬戶和密碼進(jìn)行加密B. 使用“一次一密”加密方式C.經(jīng)常修改用戶賬戶名稱和密碼 D.使用復(fù)雜的賬戶名稱和密碼.計算機(jī)病毒的危害性表現(xiàn)在（B ）A.能造成計算機(jī)部分配置永久性失效B. 影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序C.不影響計算機(jī)的運行速度D.不影響計算機(jī)的運算結(jié)果.下面有關(guān)計算機(jī)病毒的說法，描述不正確的是（ B ）A.計算機(jī)病毒是一個MIS程序B.計算機(jī)病毒是對人體有害的傳染性疾病C.計算機(jī)病毒是一個能夠通過自身傳染，起破壞作用的計算機(jī)

12、程序D,計算機(jī)病毒是一段程序，只會影響計算機(jī)系統(tǒng)，但不會影響 計算機(jī)網(wǎng)絡(luò)42計算機(jī)病毒具有（A ）A.傳播性、潛伏性、破壞性 B. 傳播性、破壞性、易讀性C.潛伏性、破壞性、易讀性 D. 傳播性、潛伏性、安全性43.目前使用的防殺病毒軟件的作用是（C ）A.檢查計算機(jī)是否感染病毒，并消除已感染的任何病毒B.杜絕病毒對計算機(jī)的侵害C.檢查計算機(jī)是否感染病毒，并清除部分已感染的病毒D.查出已感染的任何病毒，清除部分已感染的病毒44在DDoSt擊中，通過非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計算機(jī)稱為（B ）A.攻擊者 B.主控端 C.代理服務(wù)器 D.被攻擊者.對利用軟件缺陷進(jìn)行的網(wǎng)絡(luò)攻擊

13、，最有效的防范方法是（A ）A.及時更新補(bǔ)丁程序B.安裝防病毒軟件并及時更新病毒庫C.安裝防火墻D.C.安裝防火墻D.安裝漏洞掃描軟件.在IDS中，將收集到的信息與數(shù)據(jù)庫中已有的記錄進(jìn)行比 較，從而發(fā)現(xiàn)違背安全策略的行為，這類操作方法稱為（ A ）A.模式匹配B.統(tǒng)計分析C. 完整性分析 D. 不確定. IPS能夠?qū)崟r檢查和阻止入侵的原理在于IPS擁有眾多的（C ）A.主機(jī)傳感器B. 網(wǎng)絡(luò)傳感器 C. 過濾器 D. 管理控制臺.將利用虛假IP地址進(jìn)行ICMP報文傳輸?shù)墓舴椒ǚQ為（D ）A. ICMP 泛洪 B. LAND 攻擊 C. 死亡之 ping D. Smurf 攻擊.以下哪一種方法無

14、法防范口令攻擊（C ）A.啟用防火墻功能B.設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D.修改系統(tǒng)默認(rèn)的認(rèn)證名稱.在分布式防火墻系統(tǒng)組成中不包括（D ）A.網(wǎng)絡(luò)防火墻B.主機(jī)防火墻 C.中心管理服務(wù)器D.傳統(tǒng)防火墻51下面對于個人防火墻未來的發(fā)展方向，描述不準(zhǔn)確的是（D ）A.與xDSL Modem無線AP等網(wǎng)絡(luò)設(shè)備集成B.與防病毒軟件集成，并實現(xiàn)與防病毒軟件之間的安全聯(lián)動C.將個人防火墻作為企業(yè)防火墻的有機(jī)組成部分D.與集線器等物理層設(shè)備集成.在以下各項功能中，不可能集成在防火墻上的是（ D ）A.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT B. 虛擬專用網(wǎng)（VPNC.入侵檢測和入侵防御D.過濾內(nèi)部網(wǎng)絡(luò)中設(shè)備

15、的 MAC地址.當(dāng)某一服務(wù)器需要同時為內(nèi)網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務(wù)時，該服務(wù)器一般要置于防火墻的（ C ）A.內(nèi)部 B. 外部C. DMZ區(qū)D. 都可以.以下關(guān)于狀態(tài)檢測防火墻的描述，不正確的是（ D ）A.所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個數(shù)據(jù)包之間存在一些關(guān)聯(lián)B.能夠自動打開和關(guān)閉防火墻上的通信端口C.其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成D.在每一次操作中，必須首先檢測規(guī)則表，然后再檢測連接狀態(tài)表.在以下的認(rèn)證方式中，最不安全的是（A ）A. PAP B. CHAP C. MS-CHAP D. SPAP.以下有關(guān)VPN勺描述，不正確的是（C ）A,使用費用低廉B.為數(shù)據(jù)傳輸提供了

16、機(jī)密性和完整性C.未改變原有網(wǎng)絡(luò)的安全邊界 D.易于擴(kuò)展.目前計算機(jī)網(wǎng)絡(luò)中廣泛使用的加密方式為（C ）A.鏈路加密 B.節(jié)點對節(jié)點加密C.端對端加密 D.以上都是.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（ B ） A.硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟 件中寫入加密程序B.硬件加密的兼容性比軟件加密好C.硬件加密的安全性比軟件加密好D.硬件加密的速度比軟件加密快59對于一個組織，保障其信息安全并不能為其帶來直接的經(jīng)濟(jì) 效益，相反還會付出較大的成本，那么組織為什么需要信息安全？ （ D ）A.有多余的經(jīng)費 B.全社會都在重視信息安全，我們也應(yīng)該關(guān)注C.上級或領(lǐng)導(dǎo)的要求D.

17、組織自身業(yè)務(wù)需要和法律法 規(guī)要求得分評卷人復(fù)查人二、填空題（每空1分，共20分）31.根據(jù)密碼算法對明文處理方式的標(biāo) 準(zhǔn)不同，可以將密碼系統(tǒng)分為：序列密 碼體制和分組密碼體制. PKI的技術(shù)基礎(chǔ)包括 公開密鑰體制 和加密機(jī)制兩部分。.零知識身份認(rèn)證分為交互式 和非交互式兩種類型。. DNS同時調(diào)用了 TCP和UDP的53端口，其中 UDP 53 端口用于DN若戶端與DNSS艮務(wù)器端的通信，而TCP 53 端 口用于DNSX域之間的數(shù)據(jù)復(fù)制。.與病毒相比，蠕蟲的最大特點是消耗計算機(jī)內(nèi)存 和網(wǎng)絡(luò)寬帶。.在網(wǎng)絡(luò)入侵中，將自己偽裝成合法用戶來攻擊系統(tǒng)的行為稱 為冒充；復(fù)制合法用戶發(fā)出的數(shù)據(jù)，然后進(jìn)行重

18、發(fā)，以欺騙接收 者的行為稱為放；中止或干擾服務(wù)器為合法用戶提 供服務(wù)的行為稱為服務(wù)拒絕（拒絕服務(wù)）。.在LAND擊中，LAN皺擊報文的 源IP地址 和 目的 IP地址 是相同的。.防火墻將網(wǎng)絡(luò)分割為兩部分，即將網(wǎng)絡(luò)分成兩個不同的安全域。對于接入Internet 的局域網(wǎng)，其中 局域網(wǎng) 屬于可信賴的安全域，而 Internet 屬于不可信賴的非安全域。.防火墻一般分為路由模式和透明模式兩類。 當(dāng)用防火墻連接 同一網(wǎng)段的不同設(shè)備時，可采用 透明模式 防火墻；而用防火墻連接兩個完全不同的網(wǎng)絡(luò)時，則需要使用路由模式防火墻。. VPN系統(tǒng)中的身份認(rèn)證技術(shù)包括用戶身份證明 和信息認(rèn)證 兩種類型。.利用公鑰

19、加密數(shù)據(jù)，然后用私鑰解密數(shù)據(jù)的過程稱為密;利用私鑰加密數(shù)據(jù)，然后用公鑰解密數(shù)據(jù)的過程稱為數(shù)字簽名。.在PKI/PMI系統(tǒng)中，一個合法用戶只擁有一個唯一的 _公 鑰證書，但可能會同時擁有多個不同的 屬性證。.計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的3A是指認(rèn)證、授權(quán) 和審計。. SSL 是一種綜合利用對稱密鑰 和 非對稱密鑰 技術(shù)進(jìn)行安全通信的工業(yè)標(biāo)準(zhǔn)。. 掃描技術(shù)主要分為主機(jī)安全掃描和網(wǎng)絡(luò)安全掃描兩種類型。.在IDS的報警中，可以分為錯誤報警和正確的報警兩種類型。其中錯誤報警中，將IDS工作于正常狀態(tài)下產(chǎn)生的報警稱為誤報；而將IDS對已知的入侵活動未產(chǎn)生報警的現(xiàn)象稱為漏報。.狀態(tài)檢測防火墻是在傳統(tǒng)包過濾防火墻的基

20、礎(chǔ)上發(fā)展而來的，所以將傳統(tǒng)的包過濾防火墻稱為靜態(tài)包過濾 防火墻，而將狀態(tài)檢測防火墻稱為動態(tài)包過濾 防火墻。. VPN是利用Internet 等 公共網(wǎng)絡(luò) 的基礎(chǔ)設(shè)施，通過 隧道 技術(shù).為用戶提供一條與專網(wǎng)相同的安全通道。. VPN系統(tǒng)中的三種典型技術(shù)分別是 隧道技術(shù)、身份認(rèn)證 技術(shù)和加密技術(shù)。.目前身份認(rèn)證技術(shù)可分為 PKI和非PKI兩種類型，其中在VPN勺用戶身份認(rèn)證中一般采用非PKI認(rèn)證方式,而信得分評卷人復(fù)查人息認(rèn)證中采用_PKI息認(rèn)證中采用_PKI三、判斷題（每小題1分，共10分）.鏈路加密方式適用于在廣域網(wǎng)系統(tǒng) 中應(yīng)用。（X）. “一次一密”屬于序列密碼中的一種。（，）.當(dāng)通過瀏覽器

21、以在線方式申請數(shù)字證書時，申請證書和下載證書的計算機(jī)必須是同一臺計算機(jī)。（ V ）. PKI和PMI在應(yīng)用中必須進(jìn)行綁定，而不能在物理上分開。（X ）.在網(wǎng)絡(luò)身份認(rèn)證中采用審計的目的是對所有用戶的行為進(jìn)行記錄，以便于進(jìn)行核查。（V ）.由于在TC的議的傳輸過程中，傳輸層需要將從應(yīng)用層接收 到的數(shù)據(jù)以字節(jié)為組成單元劃分成多個字節(jié)段， 然后每個字節(jié)段 單獨進(jìn)行路由傳輸，所以TCP是面向字節(jié)流的可靠的傳輸方式。（V ）. ARP緩存只能保存主動查詢獲得的IP和MAC勺對應(yīng)關(guān)系， 而不會保存以廣播形式接收到的IP和MAC勺對應(yīng)關(guān)系。（X ） 48.計算機(jī)病毒只會破壞計算機(jī)的操作系統(tǒng)，而對其他網(wǎng)絡(luò)設(shè)備

22、不起作用。（x ）.腳本文件和ActiveX控件都可以嵌入在 HTML文件中執(zhí)行。（V ）.要實現(xiàn)DDoS擊，攻擊者必須能夠控制大量的計算機(jī)為其 服務(wù)。（V ）. Feistel是密碼設(shè)計的一個結(jié)構(gòu)，而非一個具體的密碼產(chǎn)品。.暴力破解與字典攻擊屬于同類網(wǎng)絡(luò)攻擊方式，其中暴力破解中所采用的字典要比字典攻擊中使用的字典的范圍要大,. DHCP服務(wù)器只能給客戶端提供IP地址和網(wǎng)關(guān)地址，而不能提供DN%艮務(wù)器的IP地址。（X ）.間諜軟件能夠修改計算機(jī)上的配置文件。（X ）.蠕蟲既可以在互聯(lián)網(wǎng)上傳播，也可以在局域網(wǎng)上傳播。而且 由于局域網(wǎng)本身的特性，蠕蟲在局域網(wǎng)上傳播速度更快，危害更 大。（，）.與I

23、DS相比，IPS具有深層防御的功能。（V ）.當(dāng)硬件配置相同時，代理防火墻對網(wǎng)絡(luò)運行性能的影響要比 包過濾防火墻小。（X）.在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3類防火墻中，只有狀態(tài) 檢測防火墻可以在一定程度上檢測并防止內(nèi)部用戶的惡意破壞。（V ）.防火墻一般采用“所有未被允許的就是禁止的”和“所有未被禁止的就是允許的”兩個基本準(zhǔn)則，其中前者的安全性要比后 者高。（V ）.在利用VPN1接兩個LAN時，LAN中必須使用TCP/IP協(xié)議。（x ）得分評卷人復(fù)查人四、名詞解釋（每小題4分，共20分） 61.對稱加密與非對稱加密在一個加密系統(tǒng)中，加密和解密使 用同一個密鑰，這種加密方式稱為對稱 加密，也稱

24、為單密鑰加密（2分）。如果系統(tǒng)采用的是雙密鑰體 系，存在兩個相互關(guān)聯(lián)的密碼，其中一個用于加密，另一個用于 解密，這種加密方法稱為非對稱加密，也稱為公鑰加密（2分）62.蜜罐：是一種計算機(jī)網(wǎng)絡(luò)中專門為吸引并“誘騙”那些試圖 非法入侵他人計算機(jī)系統(tǒng)的人而設(shè)計的陷阱系統(tǒng)（2分）。設(shè)置蜜罐的目的主要是用于被偵聽、 被攻擊，從而研究網(wǎng)絡(luò)安全的相 關(guān)技術(shù)和方法。（2）:PKI （公鑰基礎(chǔ)設(shè)施）是利用密碼學(xué)中的公鑰概念和加密技術(shù) 為網(wǎng)上通信提供的符合標(biāo)準(zhǔn)的一整套安全基礎(chǔ)平臺。PKI能為各種不同安全需求的用戶提供各種不同的網(wǎng)上安全服務(wù)所需要的 密鑰和證書，這些安全服務(wù)主要包括身份識別與鑒別（認(rèn)證）、數(shù)據(jù)保密性

25、、數(shù)據(jù)完整性、不可否認(rèn)性及時間戳服務(wù)等，從而達(dá) 到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的（2分）。PKI的技術(shù)基礎(chǔ)之一是公開密鑰體制（1分）；PKI的技術(shù) 基礎(chǔ)之二是加密機(jī)制（1分）。:DNSSEECM名系統(tǒng)安全擴(kuò)展）是在原有的域名系統(tǒng)（DNS上 通過公鑰技術(shù)，對DN部的信息進(jìn)行數(shù)字簽名，從而提供DNS勺 安全認(rèn)證和信息完整性檢驗（2分）。發(fā)送方首先使用Hash函數(shù) 對要發(fā)送的DNSB息進(jìn)行計算，得到固定長度的“信息摘要”， 然后對“信息摘要”用私鑰進(jìn)行加密，此過程實現(xiàn)了對“信息摘 要”的數(shù)字簽名；最后將要發(fā)送的 DNS言息、該DNS言息的“信 息摘要”以及該“信息摘要”的數(shù)字簽名

26、，一起發(fā)送出來（1分）。 接收方首先采用公鑰系統(tǒng)中的對應(yīng)公鑰對接收到的“信息摘要” 的數(shù)字簽名進(jìn)行解密，得到解密后的“信息摘要”；接著用與發(fā) 送方相同的Hash函數(shù)對接收到的DNS言息進(jìn)行運算，得到運算 后的“信息摘要”；最后，對解密后的“信息摘要”和運算后的“信息摘要”進(jìn)行比較，如果兩者的值相同，就可以確認(rèn)接收到的DNS言息是完整的，即是由正確的 DNS服務(wù)器得到的響應(yīng)（1 分）。攻擊：DoS （拒絕服務(wù)）攻擊是一種實現(xiàn)簡單但又很有效的攻擊 方式。DoS攻擊的目的就是讓被攻擊主機(jī)拒絕用戶的正常服務(wù)訪 問，破壞系統(tǒng)的正常運行，最終使用戶的部分 Internet連接和 網(wǎng)絡(luò)系統(tǒng)失效（2分）。最基

27、本的DoS攻擊就是利用合理的服務(wù) 請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。（2 分）1、DNSS存中毒：DNS了提高查詢效率，采用了緩存機(jī)制，把用戶查詢過的最新記錄存放在緩存中， 并設(shè)置生存周期（Time To Live, TTL）。在記錄沒有超過TTL之前，DNSg存中的記錄一旦 被客戶端查詢，DNSI艮務(wù)器（包括各級名字服務(wù)器）將把緩存區(qū) 中的記錄直接返回給客戶端，而不需要進(jìn)行逐級查詢，提高了查 詢速率。（2分）DNSS存中毒利用了 DNSS存機(jī)制，在DNSI艮務(wù) 器的緩存中存入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存中大量錯誤的記錄是攻擊者偽造的，而偽造者可能會根據(jù)不同的

28、 意圖偽造不同的記錄。由于DNS0艮務(wù)器之間會進(jìn)行記錄的同步復(fù) 制，所以在TTL內(nèi)，緩存中毒的DNSI艮務(wù)器有可能將錯誤的記錄 發(fā)送給其他的DNS0艮務(wù)器，導(dǎo)致更多的DNSI艮務(wù)器中毒。（2分） 2.機(jī)密性、完整性、可用性、可控性機(jī)密性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進(jìn)程（1分）； 完整性是指只有得到允許的人或應(yīng)用進(jìn)程才能修改數(shù)據(jù)，并且能 夠判別出數(shù)據(jù)是否已被更改（1分）；可用性是指只有得到授權(quán) 的用戶在需要時才可以訪問數(shù)據(jù)，即使在網(wǎng)絡(luò)被攻擊時也不能阻 礙授權(quán)用戶對網(wǎng)絡(luò)的使用（1分）；可控性是指能夠?qū)κ跈?quán)范圍 內(nèi)的信息流向和行為方式進(jìn)行控制（1分）。PMI: PMI （授權(quán)管理基石設(shè)施）是

29、在 PKI發(fā)展的過程中為了 將用戶權(quán)限的管理與其公鑰的管理分離，由 IETF提出的一種標(biāo)準(zhǔn)。PMI的最終目標(biāo)就是提供一種有效的體系結(jié)構(gòu)來管理用戶的 屬性。PMI以資源管理為核心，對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理（2分）。同PKI相比，兩者主要區(qū)別在于 PKI 證明用戶是誰，而PMI證明這個用戶有什么權(quán)限、能干什么。PMI 需要PKI為其提供身份認(rèn)證。PMI實際提出了一個新的信息保護(hù) 基礎(chǔ)設(shè)施，能夠與PKI緊密地集成，并系統(tǒng)地建立起對認(rèn)可用戶 的特定授權(quán)，對權(quán)限管理進(jìn)行系統(tǒng)的定義和描述， 完整地提供授 權(quán)服務(wù)所需過程。（2分）防火墻：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部 局域網(wǎng)

30、和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列 部件的組合（2分），通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不 同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、 結(jié)構(gòu) 和運行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn) 網(wǎng)絡(luò)的安全保護(hù)。VPN VPN（虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ) 設(shè)施，通過隧道技術(shù)，為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信 功能的安全數(shù)據(jù)通道，實現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的 相互連接（2分）。從VPN的定義來看，其中“虛擬”是指用戶 不需要建立自己專用的物理線路，而是利用 Internet等公共網(wǎng) 絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實

31、現(xiàn)與專用數(shù) 據(jù)通道相同的通信功能；“專用網(wǎng)絡(luò)”是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的，而是只有經(jīng) 過授權(quán)的用戶才可以使用。同時，該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加 密和認(rèn)證，從而保證了傳輸內(nèi)容的完整性和機(jī)密性。（2分）DDo皺擊：DoS攻擊就是利用合理的服務(wù)請求來占用過多的服 務(wù)資源，從而使服務(wù)器無法處理合法用戶的指令， 一般是采用一 對一方式。DDO麋在DOS基礎(chǔ)上利用一批受控制的主機(jī)向一臺 主機(jī)發(fā)起攻擊，其攻擊強(qiáng)度和造成的威脅要比DOS重的多。五、簡答題（每小題10分，共20分）.簡述ARPB騙的實現(xiàn)原理及主要防范方法由于AR的議在設(shè)計中存在的主動發(fā)送 ARP艮文的漏洞

32、，使 得主機(jī)可以發(fā)送虛假的 ARP請求報文或響應(yīng)報文，報文中的源 IP地址和源MA況址均可以進(jìn)行偽造（2分）。在局域網(wǎng)中，即 可以偽造成某一臺主機(jī)（如服務(wù)器）的IP地址和MACM址的組 合，也可以偽造成網(wǎng)關(guān)的IP地址和MAC址的組合，ARP即可 以針對主機(jī)，也可以針對交換機(jī)等網(wǎng)絡(luò)設(shè)備（2分），等等。目前，絕大部分ARPt騙是為了擾亂局域網(wǎng)中合法主機(jī)中保 存的ARP表，使得網(wǎng)絡(luò)中的合法主機(jī)無法正常通信或通信不正 常，如表示為計算機(jī)無法上網(wǎng)或上網(wǎng)時斷時續(xù)等。（2分）針對主機(jī)的ARPB騙的解決方法：主機(jī)中靜態(tài)ARPS存表中 的記錄是永久性的，用戶可以使用 TCP/IP工具來創(chuàng)建和修改，如Window

33、s操作系統(tǒng)自帶的ARP工具，利用“ arp -s網(wǎng)關(guān)IP地 址 網(wǎng)關(guān)MA況址”將本機(jī)中ARPS存表中網(wǎng)關(guān)的記錄類型設(shè)置 為靜態(tài)（static ）。（2分）針對交換機(jī)的AR放騙的解決方法：在交換機(jī)上防范AR戰(zhàn) 騙的方法與在計算機(jī)上防范 ARPB騙的方法基本相同，還是使用 將下連設(shè)備的MAC 地址與交換機(jī)端口進(jìn)行綁定的方法來實現(xiàn)。（2分）.如下圖所示，簡述包過濾防火墻的工作原理及應(yīng)用特點。包過濾（Packet Filter ）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安 全訪問策略（過濾規(guī)則），檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù) 類型等），確定是否允許該數(shù)據(jù)

34、包通過防火墻（2分）。包過濾防火墻中的安全訪問策略（過濾規(guī)則）是網(wǎng)絡(luò)管理員 事先設(shè)置好的，主要通過對進(jìn)入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過 防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過濾規(guī)則后，在防火墻中會形成一個過濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時，防火 墻會將IP分組的頭部信息與過濾規(guī)則表進(jìn)行逐條比對，根據(jù)比對結(jié)果決定是否允許數(shù)據(jù)包通過。（2分）包過濾防火墻主要特點：過濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來定； 防火墻在進(jìn)行檢 查時，首先從過濾規(guī)則表中的第1個條目開始逐條進(jìn)行，所以過 濾規(guī)則表中條目的先后順

35、序非常重要；由于包過濾防火墻工作在 OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過濾防火墻對通過的數(shù) 據(jù)包的速度影響不大，實現(xiàn)成本較低。但包過濾防火墻無法識別 基于應(yīng)用層的惡意入侵。另外，包過濾防火墻不能識別IP地址的欺騙，內(nèi)部非授權(quán)的用戶可以通過偽裝成為合法 IP地址的使 用者來訪問外部網(wǎng)絡(luò)，同樣外部被限制的主機(jī)也可以通過使用合 法的IP地址來欺騙防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。（4分）3.根據(jù)實際應(yīng)用，以個人防火墻為主，簡述防火墻的主要功能 及應(yīng)用特點防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng) 和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的 組合，通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù) 流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以 防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 （2分）個人防火墻是一套安裝在個人計算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視 計算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對計算機(jī)產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機(jī)上重要數(shù)據(jù)的安全保護(hù)。（2分）個人防火墻是在企業(yè)防火墻的基礎(chǔ)上發(fā)展起來，個人防火墻采用 的技術(shù)也與企業(yè)防火墻基本相同， 但在規(guī)則的設(shè)置、防火墻的管 理等方面進(jìn)行了簡化，使非專業(yè)的普通用戶能夠容易地安裝和使 用。（2分）為了防止安